Piratai įdiegė naują kenkėjiškų programų įkroviklį, pavadintą „Bumblebee“

Tyrėjai atrado naują kenkėjiškų programų įkroviklį, naudojamą laukinėje gamtoje. Priemonė pavadinta „Bumblebee“ ir siejama su keliomis skirtingomis kibernetinių nusikaltėlių aprangomis.

Komanda, kuri išskyrė naują kenkėjiškų programų įkroviklį, yra saugos įmonė „Proofpoint“. Komanda stebėjo keletą „nusikalstamų programų grėsmės aprangos“, kurios anksčiau naudojo keletą skirtingų įkroviklių, kad skleistų kenkėjiškas programas, vadinamas „BazaLoader“ ir „IcedID“. Dabar atrodo, kad „BazaLoader“ naudojančios aprangos visiškai perėjo prie „Bumblebee“, nes „Proofpoint“ neaptiko nė vieno senojo įrankio egzemplioriaus nuo 2022 m. vasario mėn.

„BazaLoader“ pakeitė „Bumblebee“.

„Proofpoint“ pastebėjimai sutampa su „Google“ grėsmių analizės grupės surinktais duomenimis. Remiantis ataskaita, vasarį „BazaLoader“ dingus iš internetinio kraštovaizdžio, jį pakeitė „Bumblebee“, o pirmieji naujojo krautuvo pastebėjimai gamtoje datuojami 2022 m. kovo mėn.

Tyrėjai mano, kad „Bumblebee“ vis dar aktyviai kuriama, tačiau nepaisant to, krautuvas jau turi daugybę pažangių funkcijų. Tai apima išplėstines patikras, skirtas išvengti virtualių smėlio dėžių, ir originalius dažniausiai naudojamų atsisiuntimo programų variantus.

Ataka naudoja kenkėjišką archyvą ir ISO failą

„Bumblebee“ naudojama kenkėjiškose el. pašto kampanijose. Jaukuose yra nuorodos, raginančios auką „PERŽIŪRĖTI DOKUMENTĄ“, o el. laiškas, kuriame teigiama, kad sąskaita faktūra yra kitame nuorodos gale. Kitame gale yra disko vaizdo .iso failas, supakuotas į archyvo failą ir talpinamas OneDrive.

Atidarius ZIP failą, jo viduje matomas .iso. Kai jis taip pat atidaromas, jame rodomi du failai. Abu jie pavadinti „Priedu“. Vienas yra .lnk nuorodų failas, kitas yra .dat failas, kurio dydis yra šiek tiek didesnis nei 2 megabaitai.

Jei nuorodos failas vykdomas, jis įkelia „Bumblebee“ iš .dat failo ir įdiegia įkroviklį.

„Proofpoint“ mano, kad kampaniją, kurioje šiuo metu naudojama „Bumblebee“, vykdo grėsmės veikėjas, einantis rankeną TA579.

Taip pat buvo pastebėtos kelios kitos panašios kampanijos, viena iš jų naudojo el. pašto gijų užgrobimą, kita – piktnaudžiauja el. laiškais, sugeneruotais naudojant svetainių skiltį „Susisiekite su mumis“. Pristatymo būdai buvo panašūs – vėl buvo naudojamas kitaip pavadintas naudingasis krovinys ir spartusis .lnk failas.

Anot „Proofpoint“, įkroviklis gali būti naudojamas kaip įrankis prieigai prie tinklo ir antrinių naudingųjų krovinių, įskaitant išpirkos reikalaujančias programas, pristatymui.